Aucune preuve matérielle concluante n'a été rendue publique. Le Security Lab d'Amnesty International peine à corroborer ses allégations. La méthodologie du rapport de Forbbiden Stories n'a jamais été validée de manière indépendante par des experts non attachés au consortium. Plusieurs éléments remettant en cause plusieurs parties du rapport, dont le sérieux a été entaché de quelques irrégularités par des pionniers du milieu de la sécurité informatique, ont été notés. Le Maroc nie être client de NSO Group. L'entreprise israélienne conteste vigoureusement les fuites divulguées par des médias. L'entreprise infirme en particulier un point d'une extrême importance : elle rapporte que les données analysées par le consortium, une liste de plus de 50 000 numéros de téléphone, n'ont rien à voir avec le système de Pegasus et n'ont jamais été ciblés. L'ambassade du Maroc en France avait répondu à Forbidden Stories, qu'Amnesty International «a été incapable de prouver une quelconque relation entre le Maroc et [NSO]». Le 19 juillet, dans un communiqué publié par l'agence de presse officielle MAP, le Maroc affirme n'avoir «jamais acquis de logiciels informatiques pour infiltrer des appareils de communication, de même que les autorités marocaines n'ont jamais eu recours à ce genre d'actes». NSO a démenti, ces derniers jours, que des personnalités comme Emmanuel Macron ou le roi Mohammed VI aient pu être ciblés. «Le Maroc est un Etat de droit, qui garantit le caractère secret des communications personnelles par la force de la Constitution et en vertu des engagements conventionnels du royaume et des lois et mécanismes judiciaires et non judiciaires garantissant la protection des données à caractère personnel et la cybersécurité», indique ainsi le texte en question. L'analyse de multiples téléphones figurant dans cette liste montre qu'elle contiendrait à la fois des numéros qui ont été infectés, des numéros qui ont été ciblés, et des numéros qui n'ont pas été ciblés par Pegasus. Comment déceler donc le vrai du faux ? Dans un nouveau communiqué du 21 juillet, le gouvernement marocain «met au défi» le consortium d'investigation de «fournir la moindre preuve tangible et matérielle» en appui à ce qu'il qualifie de «prétendue infiltration des appareils téléphoniques de plusieurs personnalités publiques nationales et étrangères à travers un logiciel informatique». Dans un communiqué publié le 20 juillet, le Royaume du Maroc «met au défi les colporteurs d'allégations mensongères et infondées, dont Amnesty International et le consortium Forbidden Stories, ainsi que leurs soutiens et protégés, de fournir la moindre preuve tangible et matérielle, en appui à leurs récits surréalistes». Pour le magazine Jeune Afrique, «les relations entre Rabat et Paris dépassent le "jeu" habituel entre agences d'espionnage. Ils ont d'ailleurs montré leur forte résilience dans des affaires beaucoup plus sensibles, comme en février 2014, lors de la descente des policiers français dans la résidence de l'ambassadeur marocain à Paris pour tenter d'arrêter Abdellatif Hammouchi, de passage dans la capitale. Une méthode musclée, tout sauf diplomatique, qui avait donné lieu à des tensions entre les deux pays. Mais la page a été vite tournée. au nom des intérêts suprêmes et des liens historiques entre la France et le Maroc.» Le 21 juillet, NSO a publié un nouveau communiqué, titré «Ça suffit». L'entreprise y mentionne que «face à la campagne médiatique très bien orchestrée, menée par Forbidden Stories et poussée par des groupes d'intérêt, et leur totale absence de respect pour les faits, NSO annonce qu'elle ne répondra plus aux questions portant sur ce sujet et ne participera pas à cette vicieuse campagne de dénigrement».